Acerca de la automatización de la conectividad de servicios

La automatización de la conectividad de los servicios permite a los consumidores de servicios automatizar el despliegue de la conectividad a los servicios gestionados.

Imagina que un administrador de bases de datos implementa una instancia de base de datos y quiere permitir que los consumidores de servicios accedan a esa base de datos a través de un endpoint de Private Service Connect. Es posible que el administrador de la base de datos no tenga las credenciales o los conocimientos necesarios de Gestión de Identidades y Accesos (IAM) para implementar recursos de red.

Si un servicio gestionado admite la automatización de la conectividad de servicios, la configuración de la instancia de servicio y la configuración de la red se pueden delegar en los administradores correspondientes:

  • Los administradores de instancias de servicio pueden controlar a qué redes pueden acceder sus servicios.

  • Los administradores de redes pueden controlar a qué servicios quieren permitir las conexiones.

Cuando estas configuraciones coinciden, la automatización de la conectividad de servicios crea un endpoint en las redes adecuadas, lo que proporciona conectividad a la instancia del servicio gestionado.

Información general sobre la automatización de la conectividad de servicios

En la siguiente sección se describe una configuración básica en una sola red de VPC que usa la automatización de la conectividad de servicios. Para obtener información sobre otras configuraciones, consulta VPC compartida y Servicios de Google con un ámbito de instancia de servicio personalizado.

Para desplegar una instancia de un servicio gestionado que admita la automatización de la conectividad de servicios, sigue estos pasos:

  1. Un administrador de red crea una política de conexión de servicio para su red de VPC.

    La política de conexión de servicio hace referencia a una clase de servicio, un recurso único global que identifica un servicio de productor específico. Una política de conexión de servicio única se limita a una sola clase de servicio y a una sola red de VPC de consumidor, lo que delega la capacidad de configurar la conectividad dentro de ese ámbito.

  2. Un administrador de instancias de servicio despliega una instancia de servicio gestionado mediante la API o la interfaz de usuario administrativas del servicio. La configuración de la instancia de servicio especifica a qué redes se puede acceder al servicio mediante la automatización de la conectividad de servicios.

  3. La automatización de la conectividad de los servicios crea un endpoint en la red de VPC del cliente. Este endpoint se puede usar para enviar solicitudes a la instancia del servicio.

La automatización de la conectividad de servicios permite a los consumidores de servicios automatizar el despliegue de la conectividad a los servicios gestionados (haz clic para ampliar).

Configuración del productor

En las siguientes secciones se describen los recursos que usan los productores de servicios para configurar la automatización de la conectividad de los servicios.

Clases de servicios

Una clase de servicio es una representación única global de un tipo de servicio gestionado. Cada productor es propietario exclusivo de su clase de servicio. Los consumidores hacen referencia a la clase de servicio en sus políticas de conexión de servicio, lo que autoriza la implementación y delega la conectividad al productor.

Las políticas de conexión de servicio solo se pueden crear para servicios que tengan una clase de servicio.

Las clases de servicio están disponibles para los servicios publicados por Google. Las clases de servicio también están disponibles en una vista previa limitada para servicios de terceros y servicios gestionados internos autohospedados. Para obtener más información, consulta Servicios admitidos.

Mapas de conexiones de servicios

Un mapa de conexiones de servicio es un recurso gestionado por el productor que almacena detalles para autorizar y establecer conexiones de Private Service Connect entre redes de VPC de consumidores e instancias de servicios gestionados por productores. Este mapa define las relaciones permitidas entre las instancias de servicio del productor (representadas por las vinculaciones de servicio) y los proyectos y las redes de VPC del consumidor que tienen autorización para conectarse a las instancias de servicio.

Modelo de autorización

Las políticas de conexión de servicios permiten a los consumidores delegar la implementación de la conectividad en servicios gestionados. El creador del servicio no tiene acceso directo ni privilegios de gestión de identidades y accesos para el proyecto del consumidor. En su lugar, el productor configura un mapa de conexión de servicio en su propio proyecto.

Cuando se crea o se actualiza el mapa de conexiones de servicio, normalmente en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la interfaz de usuario administrativas del servicio gestionado, la automatización de la conectividad de servicio realiza una serie de comprobaciones de autorización. Si se superan todas las comprobaciones, los endpoints de Private Service Connect se crearán tal como se especifica en la solicitud.

  • Configuración de red (política de conexión de servicio):

    • Autorización de red. La red de VPC de consumidor debe tener una política de conexión de servicio válida que autorice la red de VPC, la región y la clase de servicio especificadas en la solicitud. Esta comprobación ayuda a asegurar que un administrador de la red del consumidor con permisos de gestión de identidades y accesos en la red de VPC delega explícitamente la capacidad de crear puntos finales de Private Service Connect para el tipo de servicio especificado.
    • Ámbito de la instancia de servicio. Si la instancia de servicio gestionado es un servicio de Google y la política de conexión de servicio especifica un ámbito de instancia de servicio personalizado (custom-resource-hierarchy-levels), la automatización de la conectividad de servicio comprueba la lista de nodos de Resource Manager que se proporcionan (--allowed-google-producers-resource-hierarchy-level). El proyecto que el administrador de la instancia de servicio haya especificado en la interfaz de usuario o en la API del servicio gestionado para implementar y gestionar la instancia de servicio debe estar dentro del ámbito permitido definido por esta lista. El ámbito puede ser una combinación de organizaciones, carpetas y proyectos.
    • Validación de proyectos de endpoint. El proyecto en el que se crea la política de conexión debe estar asociado a la red de VPC en la que se va a crear el endpoint. El proyecto debe contener la red de VPC o ser un proyecto de servicio asociado a la red de VPC compartida.

  • Configuración de la instancia de servicio:

    • Autorización de gestión de identidades y accesos de administrador de servicios. El administrador del servicio de consumidor debe tener los permisos de gestión de identidades y accesos necesarios para crear o actualizar la instancia del servicio de productor. Estos permisos varían en función del servicio que se esté implementando.

    • Autorización de administrador de instancias de servicio. En la API administrativa del servicio, el administrador de la instancia de servicio que la haya creado debe haber configurado la instancia para permitir las conexiones desde la red de VPC que solicita la conexión.

  • Configuración del productor:

    • Permisos de gestión de identidades y accesos del productor. El administrador del servicio productor que crea o actualiza el mapa de conexión de servicio debe tener permisos de gestión de identidades y accesos en la clase de servicio asociada. Esta comprobación ayuda a evitar representaciones falsas de una clase de servicio público.

Si se cumplen todas las condiciones, la cuenta de Network Connectivity Service crea los endpoints solicitados en las redes autorizadas. La cuenta de servicio de Network Connectivity es un agente de servicio.

Reintentos automáticos en caso de fallos de endpoints

La automatización de la conectividad de servicios gestiona por completo la creación y eliminación de tus endpoints de Private Service Connect.

Si la automatización de la conectividad de servicios no puede crear o eliminar un endpoint autorizado (por ejemplo, debido a limitaciones de cuota o a que la subred de la política de conexión de servicio se ha quedado sin direcciones IP), un proceso automatizado vuelve a intentar la operación periódicamente hasta que se resuelva el problema que la bloquea. Sin embargo, si se produce un error al crear o eliminar un endpoint debido a comprobaciones de autorización, no se vuelve a intentar la operación.

Para ver los errores que impiden la creación de puntos finales, puedes describir la política de conexión de servicio y consultar el campo pscConnections. Para obtener información sobre cómo solucionar problemas relacionados con la creación o eliminación de endpoints, consulta el artículo Solución de problemas.

VPC compartida

La automatización de la conectividad de servicios se puede usar para crear automáticamente endpoints de Private Service Connect en redes de VPC compartida. Como el endpoint se configura con una dirección IP de la red de VPC compartida, se puede acceder a él desde el proyecto del host y desde todos los proyectos de servicio vinculados.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. El administrador de la red crea una política de conexión de servicio para la red vpc1 en el proyecto host project1 y permite la conectividad a las instancias de servicio que usan la clase de servicio google-cloud-sql. Las direcciones IP de los endpoints se asignan desde la subred endpoint-subnet.

  2. El administrador de la instancia de servicio despliega dos instancias de servicio gestionadas: db-test en el proyecto service-project-test y db-prod en el proyecto service-project-prod. El administrador configura la instancia de servicio para que la automatización de la conectividad de servicios despliegue endpoints en la red vpc1 de project1 que se conecten a las instancias de servicio.

  3. Como todas las comprobaciones de autorización se superan, la automatización de la conectividad de servicios crea dos endpoints conectados a endpoint-subnet, uno para cada instancia de servicio. Todas las VMs que estén conectadas a la subred vm-subnet pueden acceder a los endpoints porque están conectadas a la misma red de VPC compartida que los endpoints.

Puedes usar una política de conexiones de servicio en una red de VPC compartida para crear conectividad con instancias de servicio que se hayan implementado en proyectos de servicio (haz clic para ampliar).

Servicios de Google con un ámbito de instancia de servicio personalizado

De forma predeterminada, la automatización de la conectividad de los servicios requiere que la instancia de servicio y los endpoints que se conectan a ella estén en el mismo proyecto (o en proyectos conectados, en el caso de la VPC compartida). En el caso de los servicios de Google compatibles, las instancias de servicio y los endpoints de conexión pueden estar en proyectos u organizaciones diferentes.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. Los administradores de red de vpc-1, vpc-2 y vpc-3 crean políticas de conexión de servicio en sus respectivas redes de VPC. Permiten la conectividad a instancias de servicio que usan la clase de servicio google-cloud-sql y que se han desplegado en el proyecto project-1 de la organización org-1.

  2. El administrador de la instancia de servicio implementa una instancia de servicio gestionado db-1 en project-1 mediante la API o la interfaz de usuario administrativas del servicio. El administrador configura la instancia de servicio para que la automatización de la conectividad de servicios despliegue endpoints en vpc-1 y vpc-2 que se conecten a db-1.

  3. En el caso de vpc-1 y vpc-2, se superan todas las comprobaciones de autorización y la automatización de la conectividad de servicios crea un endpoint en cada red. Las VMs de esas redes pueden enviar tráfico a la instancia de servicio a través de los endpoints.

    Sin embargo, no se crea ningún endpoint en vpc-3 porque esa red no está configurada para la conectividad automática en la configuración de la instancia de servicio db-1.

    Si vpc-3 necesita acceder a la instancia del servicio db-1, el administrador de la red puede ponerse en contacto con el administrador de la base de datos y pedirle que añada vpc-3 a la configuración de conectividad de db-1.

Puedes automatizar la conectividad a los servicios de Google admitidos desde diferentes proyectos, carpetas u organizaciones (haz clic para ampliar).

Servicios admitidos

Los siguientes servicios de Google admiten la automatización de la conectividad de servicios.

Servicio de Google Acceso proporcionado
AlloyDB for PostgreSQL Te permite automatizar la creación de conexiones a instancias de AlloyDB para PostgreSQL.
Cloud SQL Te permite automatizar la creación de conexiones a instancias de Cloud SQL.
Memorystore for Redis Cluster Te permite automatizar la creación de conexiones a instancias de Memorystore for Redis Cluster.
Memorystore for Valkey Te permite automatizar la creación de conexiones a instancias de Memorystore for Valkey.
Búsqueda de Vectores de Vertex AI Te permite automatizar la creación de conexiones con endpoints de Vector Search.

Para determinar si un servicio gestionado de terceros admite políticas de conexión de servicio, ponte en contacto con el proveedor del servicio. Si un servicio admite políticas de conexión de servicios, el proveedor del servicio puede proporcionarte la clase de servicio asociada.

Los recursos de automatización del lado del productor están disponibles en una vista previa limitada. Si quieres automatizar la conectividad de los consumidores para tu servicio gestionado, ponte en contacto con tu Google Cloud representante de ventas.